Разделение тестовой среды и среды промышленной эксплуатации информационной системы. Процесс управления изменениями.

Защита автоматизированных систем должна обеспечиваться на всех стадиях их жизненного цикла, в том числе на этапах тестирования и промышленной эксплуатации. В последнем случае в организации должны быть внедрены следующие процедуры.

Контроль программного обеспечения, находящегося в промышленной эксплуатации

Необходимо обеспечивать контроль за процессом внедрения программного обеспечения в промышленную эксплуатацию. Чтобы свести к минимуму риск повреждения систем, находящихся в промышленной эксплуатации, целесообразно использовать следующие мероприятия по обеспечению информационной безопасности:

 обновление библиотек программ следует выполнять только назначенному специалисту - библиотекарю при соответствующей авторизации его обязанностей руководством;

 по возможности, системы, находящиеся в промышленной эксплуатации, должны состоять только из исполнимых программных кодов;

 исполняемую программу не следует внедрять в промышленную эксплуатацию до тех пор, пока не получены подтверждения ее успешного тестирования и принятия пользователями, а также не обновлены соответствующие библиотеки исходных текстов программ;

 необходимо, чтобы журнал аудита регистрировал все обновления библиотек программ, находящихся в промышленной эксплуатации;

 предыдущие версии программного обеспечения следует сохранять для восстановления системы в случае непредвиденных обстоятельств.

Необходимо, чтобы программное обеспечение, используемое в промышленной эксплуатации, поддерживалось на уровне, заданном разработчиком. При любом решении провести обновление до уровня новой версии следует принимать во внимание безопасность данной версии: какие новые функциональные возможности обеспечения информационной безопасности она имеет или имеются ли серьезные проблемы обеспечения безопасности, связанные с этой версией. Целесообразно использовать программные модификации (патчи), если они могут закрыть или снизить угрозы безопасности.

Физический или логический доступ предоставляется поставщикам (разработчикам), по мере необходимости, только для поддержки программного обеспечения при наличии разрешения руководства. При этом действия поставщика (разработчика) должны контролироваться.

Защита тестовых данных

Данные тестирования следует защищать и контролировать. Для осуществления системного и приемочного тестирования требуются существенные объемы тестовых данных, которые максимально приближены к операционным данным. Следует избегать использования баз данных, находящихся в промышленной эксплуатации и содержащих личную информацию. Если такая информация требуется для тестирования, то перед использованием следует удалить личную информацию (деперсонифицировать ее). Для защиты операционных данных, когда они используются для целей тестирования, необходимо применять следующие мероприятия по обеспечению информационной безопасности:

 процедуры контроля доступа, применяемые для прикладных систем, находящихся в промышленной эксплуатации, следует также применять и к прикладным системам в среде тестирования;

 при каждом копировании операционной информации для прикладной системы тестирования предусматривать авторизацию этих действий;

 после того, как тестирование завершено, операционную информацию следует немедленно удалить из прикладной системы среды тестирования;

 копирование и использование операционной информации необходимо регистрировать в журнале аудита.

Контроль доступа к библиотекам исходных текстов программ

Для снижения риска искажения компьютерных программ необходимо обеспечивать строгий контроль доступа к библиотекам исходных текстов программ, для чего:

 по возможности, исходные библиотеки программ следует хранить отдельно от бизнес-приложений, находящихся в промышленной эксплуатации;

 назначать специалиста - библиотекаря программ для каждого бизнес-приложения;

 персоналу поддержки информационных технологий не следует предоставлять неограниченный доступ к исходным библиотекам программ;

 программы, находящиеся в процессе разработки или текущего обслуживания, не следует хранить в библиотеках с исходными текстами программ, находящихся в промышленной эксплуатации;

 обновление библиотек и обеспечение программистов исходными текстами следует осуществлять только назначенному специалисту - библиотекарю после авторизации, полученной от менеджера, отвечающего за поддержку конкретного бизнес-приложения;

 листинги программ следует хранить в безопасном месте;

 следует вести журнал аудита для всех доступов к исходным библиотекам;

 старые версии исходных текстов необходимо архивировать с указанием точных дат и времени, когда они находились в промышленной эксплуатации, вместе со всем программным обеспечением поддержки, управления заданиями, определениями данных и процедурами;

 поддержку и копирование исходных библиотек следует проводить под строгим контролем с целью предотвращения внесения неавторизованных изменений.

Безопасность в процессах разработки и поддержки. Контроль изменений

Менеджеры, ответственные за прикладные системы, должны быть ответственными и за безопасность среды проектирования или поддержки. Они должны проводить анализ всех предложенных изменений системы и исключать возможность компрометации безопасности как системы, так и среды промышленной эксплуатации.

Чтобы свести к минимуму повреждения информационных систем, следует строго контролировать внедрение изменений - строго придерживаться формализованных процедур обеспечения информационной безопасности; осуществлять контроль за возможной компрометацией самих процедур; программистам, отвечающим за поддержку, предоставлять доступ только к тем частям системы, которые необходимы для их работы; обеспечивать формализацию и одобрение соответствующим руководством всех изменений. Изменения в прикладном программном обеспечении могут повлиять на информационную безопасность используемых бизнес-приложений. Там, где возможно, следует объединять меры по обеспечению информационной безопасности используемых бизнес-приложений и изменений в прикладных программах. Необходимо, чтобы этот процесс включал:

 обеспечение протоколирования согласованных уровней авторизации;

 обеспечение уверенности в том, что запросы на изменения исходят от авторизованных соответствующим образом пользователей;

 анализ мер информационной безопасности и процедур, обеспечивающих целостность используемых систем;

 идентификацию всего программного обеспечения, информации, объектов, баз данных и аппаратных средств, требующих изменений;

 получение формализованного одобрения детальных запросов/предложений на изменения перед началом работы;

 разрешение внесения изменений в прикладные программы авторизованным пользователем до их непосредственной реализации;

 осуществление процесса внедрения изменений в прикладные программы с минимальными отрицательными последствиями для бизнеса;

 обеспечение обновления комплекта системной документации после завершения каждого изменения и архивирование или утилизация старой документации;

 поддержку контроля версий для всех обновлений программного обеспечения;

 регистрацию в журналах аудита всех запросов на изменение;

 коррекцию эксплуатационной документации и пользовательских процедур в соответствии с внесенными изменениями;

 осуществление процесса внедрения изменений в согласованное время без нарушения затрагиваемых бизнес-процессов.

Технический анализ изменений в операционных системах

Периодически возникает необходимость внести изменения в операционные системы, например, установить последнюю поддерживаемую версию программного обеспечения. В этих случаях необходимо провести анализ и протестировать прикладные системы с целью обеспечения уверенности в том, что не оказывается никакого неблагоприятного воздействия на их функционирование и безопасность. Необходимо, чтобы этот процесс учитывал:

 анализ средств контроля бизнес-приложений и процедур целостности, чтобы обеспечивать уверенность в том, что они не были скомпрометированы изменениями в операционной системе;

 обеспечение уверенности в том, что ежегодный план поддержки и бюджет предусматривает анализ и тестирование систем, которые необходимо осуществлять при изменениях в операционной системе;

 обеспечение своевременного поступления уведомлений об изменениях в операционной системе для возможности проведения соответствующего анализа их влияния на информационную безопасность перед установкой изменений в операционную систему;

 контроль документирования соответствующих изменений в планах обеспечения непрерывности бизнеса.

Модификаций пакетов программ следует избегать. Насколько это возможно и допустимо с практической точки зрения, поставляемые поставщиком пакеты программ следует использовать без внесения изменений. Там, где все-таки необходимо вносить изменения в пакет программ, следует учитывать:

 риск компрометации встроенных средств контроля и процесса обеспечения целостности;

 необходимость получения согласия поставщика;

 возможность получения требуемых изменений от поставщика в виде стандартного обновления программ;

 необходимость разработки дополнительных мер поддержки программного обеспечения, если организация в результате внесенных изменений станет ответственной за будущее сопровождение программного обеспечения.

В случае существенных изменений оригинальное программное обеспечение следует сохранять, а изменения следует вносить в четко идентифицированную копию. Все изменения необходимо полностью тестировать и документировать таким образом, чтобы их можно было повторно использовать, при необходимости, для будущих обновлений программного обеспечения.

Выводы

При построении комплексной системы защиты информации в АС следует достаточное внимание уделять защите носителей конфиденциальной информации. Также следует обеспечивать защиту на всех стадиях жизненного цикла АС, в том числе на этапах тестирования и промышленной эксплуатации.

Для решения данных задач в организации должны быть внедрены процессы управления носителями конфиденциальной информации, а также произведено разделение тестовой среды и среды промышленной эксплуатации АС.

Вопросы для самоконтроля

1. Перечислите основные угрозы безопасности физическим носителям информации.

2. Перечислите и охарактеризуйте организационные мероприятия по защите физических носителей.

3. Перечислите и охарактеризуйте технические мероприятия по защите физических носителей.

4. Перечислите и охарактеризуйте мероприятия по управлению носителями конфиденциальной информации.

5. Каким образом должна выполняться утилизация носителей конфиденциальной информации?

6. Каким образом должна обеспечиваться безопасность носителей конфиденциальной информации при их пересылке?

7. Каким образом должно производиться разделение тестовой среды и среды промышленной эксплуатации АС?